web-dev-qa-db-ja.com

terraformを使用して、スケジュールされたイベントソースによってトリガーされるラムダ関数を設定します

5分ごとにAWSラムダ関数を実行したいと思います。 AWSマネジメントコンソールでは、ラムダ関数の[イベントソース]タブで簡単に設定できますが、 Terraform ?で設定するにはどうすればよいですか?

_aws_lambda_event_source_mapping resource ですが、 使用するAPI はKinesisおよびDynamoDBからのイベントのみをサポートすることがわかります。スケジュールされたイベントソースで使用しようとすると、作成がタイムアウトします。

amazon-web-servicesterraform
46
Vebjorn Ljosa

aws_cloudwatch_event_targetリソースを使用して、スケジュールされたイベントソース(イベントルール)をラムダ関数に関連付けることができます。ラムダ関数を呼び出す許可を与える必要があります。これにはaws_lambda_permissionリソースを使用できます。

例:

resource "aws_lambda_function" "check_foo" {
    filename = "check_foo.Zip"
    function_name = "checkFoo"
    role = "arn:aws:iam::424242:role/something"
    handler = "index.handler"
}

resource "aws_cloudwatch_event_rule" "every_five_minutes" {
    name = "every-five-minutes"
    description = "Fires every five minutes"
    schedule_expression = "rate(5 minutes)"
}

resource "aws_cloudwatch_event_target" "check_foo_every_five_minutes" {
    rule = "${aws_cloudwatch_event_rule.every_five_minutes.name}"
    target_id = "check_foo"
    arn = "${aws_lambda_function.check_foo.arn}"
}

resource "aws_lambda_permission" "allow_cloudwatch_to_call_check_foo" {
    statement_id = "AllowExecutionFromCloudWatch"
    action = "lambda:InvokeFunction"
    function_name = "${aws_lambda_function.check_foo.function_name}"
    principal = "events.amazonaws.com"
    source_arn = "${aws_cloudwatch_event_rule.every_five_minutes.arn}"
}
86
Vebjorn Ljosa

Verbjorns Ljosaの答えには、cloudwatchがラムダを呼び出すための権限のみが含まれています。ラムダがアクションを実行できるようにする適切なポリシーとiamロールを指定しましたか?

resource "aws_iam_role" "check_foo_role" {
  name="check-foo-assume-role"
  assume_role_policy="assume_role_policy.json"
}

assume_role_policy.json

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": "sts:AssumeRole",
      "Principal": {
        "Service": "lambda.amazonaws.com"
      },
      "Effect": "Allow",
      "Sid": ""
    }
  ]
}

上記のリソースIAMの役割を参照するポリシー何かのようなもの

resource "iam_role_policy" "check-foo-policy" {
  name="check-foo-lambda-policy"
  # referencing the iam role above
  role="${aws_iam_role.check_foo_role.id}"
  policy="check-foo-policy.json"
}

最後に、ポリシーを指定するjson、check-foo-policy.json

{
  "Version": "2012-10-17",
  "Statement": [
    {
  "Effect": "Allow",
  "Action": [
    "logs:CreateLogGroup",
    "logs:CreateLogStream",
    "logs:PutLogEvents"
  ],
  "Resource": ["*"]
},
{
  "Effect": "Allow",
  "Action": [
    "abc:SomeAction",
    "abc:AnotherAction",
  ],
  "Resource": "some-arn-matching-the-actions"
}

ログ関連のアクションにはリソース制限を指定できないことに注意してください。 abc:SomeActionssm:GetParameterに付随するリソースarnを含む"arn:aws:ssm:us-east-1:${your-aws-account-id}:parameter/some/parameter/path/*

2
johan mårtensson